我正在尝试创建一个ARM模板,该模板可以使用Key Vault作为EKM在Azure中使用透明数据加密(TDE)部署SQL Enterprise VM。
我找到了如何通过密钥保险柜启用TDE的示例,包括the 101 SQL KeyVault template和SQL ARM Provision,但在这两种情况下,他们只需要密钥保险库网址和访问凭据(AppID和密码)。
由于没有提供现有的秘密URL,这似乎暗示驻留在EKM(密钥保管库)中的非对称密钥将由部署过程创建,according to Microsoft's Security Note是生产工作负载的不良做法因为密钥永远不能导出。
鉴于上述情况,我试图将SQL指向我作为pfx文件导入Key Vault的现有非对称密钥,但我似乎找不到任何关于如何引用它的文档。通过ARM模板创建VM。如果有人知道这是否可行,而不是在创建VM后必须通过PowerShell和/或T-SQL执行许多手动步骤,我将非常感激。
答案 0 :(得分:0)
作为一个小小的预警,这不是我使用过的东西,到目前为止,只是通过阅读源代码,我很快就会在某个时候尝试,但是这个可能会有所帮助。
查看Commit that added keyvault到Azure SQL Extension的文件part that templates interact with似乎是Template configures
的部分这也是Azure SQL VM Powershell命令与之交互的部分,也可以提供给相同的部分。
如果您可以通过该扩展从Powershell配置它,那么也应该可以通过模板进行配置。
答案 1 :(得分:0)
Microsoft已确认目前无法仅使用ARM模板通过Key Vault配置端到端EKM。绝大多数必须通过PowerShell和/或T-SQL实现。可以使用ARM模板创建密钥保管库,但您目前无法配置Azure AD应用程序(需要对密钥保管库进行身份验证),也不能将TDE所需的非对称证书添加到密钥中保险柜密钥。